“The perpetrator, allegedly of Chinese origin, has been running the XMRig miner on many versions of Windows,and has already secured him over $3 million worth of Monero crypto-currency. As if that wasn’t enough though, he has now upped his game by targeting the powerful Jenkins CI server, giving him the capacity to generate even more coins.” states a blog post published by CheckPoint.
Os servidores Jenkins são normalmente utilizados por profissionais e programadores, com vista a realizar diversas tarefas de automação e testes de código. Este servidor de automação permite aos utilizadores construir, testar e implementar as suas próprias aplicações. Ele tem atualmente mais de 133.000 instalações ativas em todo o mundo e mais de 1 milhão de utilizadores.
Na passada sexta-feira, a empresa de segurança Check Point afirma ter descoberto uma grande operação de um grupo de hackers, com vista a atingir servidores com este software instalado e ligados à Internet.
O Jenkins é um servidor muito popular para automatização, open-source, e é mantido pela CloudBees e toda a comunidade.
De acordo com os investigadores, os criminosos terão alavancado esta operação maliciosa através da vulnerabilidade RCE CVE-2017-100353 na implementação de desserialização Java do Jenkins.
Esta vulnerabilidade ocorre devido a falta de validação da serialização do objecto, e isso permite aos criminosos forçar o Jenkins a descarregar o plugin JenkinsMiner.
“The operation uses a hybridization of a Remote Access Trojan (RAT) and XMRig miner over the past months to target victims around the globe. The miner is capable of running on many platforms and Windows versions, and it seems like most of the victims so far are personal computers. With every campaign, the malware has gone through several updates and the mining pool used to transfer the profits is also changed.” continues the post.
A investigação aponta ainda que a maioria dos downloads do JenkinsMiner, um IP localizado na China e atribuído ao centro de informações do governo de Huainan.
Desfrutem do report aqui!